AW: [php] Login + Sicherheit

[Wolfgang Hauck]

Hi Alex,

>ich habe immer noch meine Bedenken wenn ich ein Login per Session,
>oder selbstgenerierten ID's, mit PHP einsetze.

>Dabei wird natürlich bei jeder Aktion ein Timestamp und die IP des
>Benutzers überprüft.

Die Überprüfung der IP ist eine unsichere Sache, die kann nähmlich vom
Provider während der Sitzung dynamisch verändert werden. Damit ist dein
Benutzer wieder vor der Türe.

>Wenn ich mir aber vorstelle das mehrere User hinter einem Proxy
>sitzen, und der eine dem anderen die Session-ID abguckt(wie auch
>immer), weil der User kein Cookie hat und diese an die URL angehängt wird.
>Dann könnte dieser andere User theorethisch den Login nutzen.

Das stimmt. Wurde aber letzte Woche schon ausführlich diskutiert (mit
Lösungvorschlägen). Schau mal ins Archiv.

>Gibt es eine sichere Möglichkeit die ihr empfehlen könnt? HTACCESS mit
>mod_auth wäre gut, doch bietet leider kaum ein Provider die
>Möglichkeit auf mod_auth zuzugreifen.

siehe oben.

MFG Wolfgang